(相關(guān)資料圖)

近日，騰訊安全玄武實驗室和浙江大學的研究人員在論文《BrutePrint：暴露智能手機指紋認證的暴力攻擊》中，披露了一種針對安卓和鴻蒙手機指紋識別的新攻擊方法。該方法利用了兩個零日漏洞和指紋傳感器的串行外設接口（SPI）上的生物識別數(shù)據(jù)保護不足，可以無限次提交指紋圖像，通過暴力窮舉的方式破解指紋識別。

據(jù)了解，該攻擊方法需要對目標設備進行物理訪問，并使用一個成本約為15美元（約合106元人民幣）的設備，包括一個可抑制的攻擊板、一個硬件自動點擊器和一個可選的操作板。攻擊者還需要從學術(shù)數(shù)據(jù)集或生物識別數(shù)據(jù)泄漏中獲取指紋數(shù)據(jù)庫，并通過“神經(jīng)風格轉(zhuǎn)換”系統(tǒng)將數(shù)據(jù)庫中的所有指紋圖像轉(zhuǎn)換為看起來像是目標設備的傳感器掃描圖像。

研究人員對10款常見的智能手機進行了測試，其中包括6款安卓手機、2款華為鴻蒙手機以及2款iPhone。測試結(jié)果顯示，所有安卓和鴻蒙設備都至少存在一個允許入侵的漏洞，可以被無限次暴力破解。而iOS設備由于防御機制更嚴格，只能被額外嘗試10次（共15次）。

研究人員建議用戶盡量避免在手機上錄入多個指紋信息，并使用其他形式的身份驗證方式，如密碼、PIN碼或面部識別。同時，他們也呼吁智能手機廠商加強對指紋傳感器和生物識別數(shù)據(jù)的保護，并及時修復相關(guān)漏洞。

此次研究揭示了安卓與鴻蒙智能手機指紋識別技術(shù)存在的安全隱患，也提醒了用戶和廠商對生物識別技術(shù)應該保持警惕和審慎。作為一種便捷而普遍的身份驗證方式，指紋識別不僅涉及到用戶的隱私保護，也關(guān)乎到用戶的財產(chǎn)安全和信息安全，并且作為伴隨人一生的生物識別信息，一次泄露便意味著終生的不安全。因此，在享受技術(shù)帶來的便利的同時，也要注意防范技術(shù)帶來的風險。

文中圖片來源于網(wǎng)絡

責任編輯：

標簽：